filecheck .ru
Вот так, вы сможете исправить ошибки, связанные с dwservice.exe
Информация о файле dwservice.exe
Важно: Некоторые вредоносные программы маскируют себя как dwservice.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл dwservice.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с dwservice
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
dwservice сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
От комментария на Хабре к уязвимости в антивирусе Dr. Web
Относительно недавно на хабре появилась статья «Стилер паролей в антивирусном ПО Avira Free Antivirus» от пользователя Veliant. Автор обнаружил, что в стандартной поставке упомянутого антивируса присутствует компонент, который позволяет простым образом извлечь пароли из хранилища браузера Chrome.
В комментариях произошла дискуссия, можно ли считать это уязвимостью. Но меня зацепил один комментарий автора:
нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?
Дело в том, что буквально перед этим я исследовал несколько программ, которые точно так же полагались на проверку цифровой подписи. И такую проверку было очень легко обойти.
Цифровая подпись файла соответствует только самому исполняемому файлу, но работающая программа это не только исполняемый файл. Существует несколько способов повлиять на работу программы, не меняя исполняемый файл: можно подменить библиотеки, которые загружаются или сделать инъекцию кода прямо в памяти.
Я посмотрел на профиль автора: «Работает в: Доктор Веб». А что если посмотреть, не используется ли в продуктах этой компании проверка, о которой говорит автор? Я решил посмотреть и, спойлер, нашел уязвимость, которая позволяет повысить свои привилегии до системных пользователю Dr.Web Security Space для Windows.
Разведка
Я не разбираюсь в продуктах Доктор Веб, поэтому взял первое попавшееся, что можно было скачать на сайте — это был Dr.Web Security Space 12 для Windows. При настройках по умолчанию данный продукт проводит проверку обновлений каждые полчаса. И в механизме обновления была обнаружена уязвимость.
Ниже я предлагаю видео эксплуатации с описанием того, что происходит на видео с привязкой ко времени. Там же будет описание, в чем же конкретно состояла уязвимость.
Видео эксплуатации
Демонстрация проходит на ОС Windows 10 x64 от пользователя без прав администратора.
0:00-0:12 через консоль Windows показываю, что текущий пользователь не является администратором
0:12-0:24 показываю установленную версию Dr.Web Security Space
0:24-0:29 в папке на рабочем столе находится файл drweb_eop_upd_dll.dll (исходные коды и файл приложены к тикету)
0:29-0:34 показываю, что в папке C:\ProgramData\Doctor Web\Updater\etc находится 3 файла
0:34-0:47 копирую библиотеку drweb_eop_upd_dll.dll в папке на рабочем столе и один экземпляр называю version.dll, другой — cryptui.dll
0:47-0:56 копирую файл C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe в папку на рабочем столе, рядом с dll.
0:56-1:00 запускаю скопированный файл
Запускаемый файл drwupsrv.exe из папки на рабочем столе загружает расположенную рядом version.dll. Данная библиотека создает файл C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml.new. На папку C:\ProgramData и вглубь у пользователя есть права на создание файлов, поэтому это легальная операция. Если попробовать создать такой файл вручную, то, вероятно, защитные механизмы Dr.Web предотвращают такую операцию. Но в эксплуатации создание файла проходит от имени drwupsrv.exe, что вероятно обходит внутренние проверки и файл создается. Фактически, это обход той самой проверки подписи о которой и идет речь в начале статьи.
1:00-1:22 демонстрирую созданный файл и его содержимое. В общем смысле файл совпадает по содержимому с файлом C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml, но все пути указывают папку на рабочем столе (C:\Users\User\Desktop\dwtest)
1:22-2:00 ничего не происходит (на этом этапе я ожидаю процесса обновления ПО, который по умолчанию происходит раз в полчаса и ожидаемое время можно найти в логах)
2:00-2:14 судя по всему, взяв созданный файл конфигурации, обновлятор видит, что в папке C:\Users\User\Desktop\dwtest нет файлов ПО Dr.Web, начинает туда файлы ПО копировать.
Среди копируемых файлов есть файл dwservice.exe, который запускается в момент обновления от имени пользователя NT AUTHORITY\SYSTEM. Данный файл загружает в себя библиотеку cryptui.dll, которая была в папке C:\Users\User\Desktop\dwtest. Код библиотеки просто запускает интерактивную консоль, которую и видно на экране. Командой whoami убеждаюсь, что получены права системы.
Отчет об уязвимости был отправлен в Доктор Веб и, вроде бы, разработчики все поправили.
15.05.2020 — Обращение в техподдержку с просьбой предоставить security-контакт.
20.05.2020 — Получаю ответ, что можно передать отчет в данном обращении
20.05.2020 — Передаю отчет
14.06.2020 — Получаю ответ, что для 12 версии уязвимость исправлена. Ожидают портирование для версии 11.
07.07.2020 — Разработчики подтверждают, что исправления выпущены.
Появление ошибки dwservice при старте ПК, после обновление до версии 9.1
Все доброго времени суток.
С недавнего времени стала заметна ошибка dwservice при старте ПК, скорее всего после обновление до версии 9.1
Ошибка носит рандомный характер
szAPPName: dwservice.exe szAPPVer 9.1.1.7171
szModName: dwservice.exe szAPPVer 9.1.1.7171 offset: 001022e9
1) Скачайте утилиту procdump
Распакуйте и поместите ее на диск C: чтобы получилось так C:\procdump.exe
2) Перезапустите систему, дождитесь падения. Не закрывайте окно об ошибке «Инструкция по адресу. «.
3) Откройте cmd (запустите с правами администратра), введите следующую строчку:
На диске C: будет файл dwservice.dmp. Его необходимо запаковать в архив с максимальным сжатием и выложить на файлообменник, например на rghost.ru. Ссылку сюда.
Получившийся архив прикрепите сюда.
1) Скачайте утилиту procdump:
А СЗ отключать не нужно? Прот позволит слить дамп?
1) Скачайте утилиту procdump:
А СЗ отключать не нужно? Прот позволит слить дамп?
Информация собранная утилитой SysInfo
Пароль на скачивание файлов: форум
Файл dwservice.dmp
Исправление в релизе. Обновитесь.
Понаблюдайте, исчезнуть ли падения. Если вдруг не исчезнут, нужен будет новый дамп.
Спасибо,надеюсь на положительный результат.
Спасибо,надеюсь на положительный результат.
dwservice.exe нагружает систему
2 недели после установки начались жуткие лаги, какими-то приступами. Всё долго грузится, на сайт даже еле зашёл.
После исследования Диспетчера задач, выяснил что виноват Dr.Web Control Service, с именем dwservice.exe.
Самое интересное, то, что процесс вываливается после примерно 10 минут лагов. Видно, что при наведении на значок пишется «Ошибка Dr.Web Control Service».
На этом всё, какие мне нужны логи?
P.S Нубук ASUS X550VC
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
Keep yourself alive
vadrozh, штатный отчет Dr.Web (отчет для технической поддержки).
Опа! Опять вылетел. Только я ошибся в шапке, он пишет «Dr.Web Control Service is not availble»
Эмм, излазил «Настройки» нигде не нашёл
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
Опа! Опять вылетел. Только я ошибся в шапке, он пишет «Dr.Web Control Service is not availble»
Эмм, излазил «Настройки» нигде не нашёл
Нашёл, при создании, в самом конце, опять то же самое
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
На всякий случай написал в тех. поддержку
Прикрепленные файлы:
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
Keep yourself alive
vadrozh, на край, можно приложить логи из папки c:\ProgramData\Doctor Web\Logs
Keep yourself alive
vadrozh, у вас там вообще беда в системном журнале. Вы, случайно, какими-нибудь твикерами или ручками системные службы не отключали?
«Служба «Поставщик домашней группы» является зависимой от службы «Хост поставщика функции обнаружения», которую не удалось запустить из-за ошибки
Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.»
«Служба Dr.Web Control Service была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 0 мсек: Перезапуск службы.»
Тут, скорее всего, техподдержка окажет более действенную помощь.
vadrozh, у вас там вообще беда в системном журнале. Вы, случайно, какими-нибудь твикерами или ручками системные службы не отключали?
«Служба «Поставщик домашней группы» является зависимой от службы «Хост поставщика функции обнаружения», которую не удалось запустить из-за ошибки
Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.»
«Служба Dr.Web Control Service была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 0 мсек: Перезапуск службы.»
Тут, скорее всего, техподдержка окажет более действенную помощь.
Хм, есть CCleaner которым пользуюсь редко, был IOBit System Care или как там его. Сейчас он удалён примерно неделю уже.
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
судя по журналу вирусов у вас там вагон. курит вам в помощь для начала
вирусы уже почистил курейтом ещё утром, всё чисто
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
судя по журналу вирусов у вас там вагон. курит вам в помощь для начала
Ну это не повод для сервиса падать.
Так что IMHO в ТП за процдампом.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Хм, есть CCleaner которым пользуюсь редко, был IOBit System Care или как там его. Сейчас он удалён примерно неделю уже.
[3228] C:\Program Files (x86)\IObit\Start Menu 8\StartMenuServices.exe
[3376] C:\Program Files (x86)\IObit\Start Menu 8\StartMenu8.exe
[5048] C:\Program Files (x86)\IObit\Start Menu 8\StartMenu_Hook.exe
судя по журналу вирусов у вас там вагон. курит вам в помощь для начала
Ну это не повод для сервиса падать.
Так что IMHO в ТП за процдампом.
могу сюда дамп скинуть
Хм, есть CCleaner которым пользуюсь редко, был IOBit System Care или как там его. Сейчас он удалён примерно неделю уже.
[3228] C:\Program Files (x86)\IObit\Start Menu 8\StartMenuServices.exe
[3376] C:\Program Files (x86)\IObit\Start Menu 8\StartMenu8.exe
[5048] C:\Program Files (x86)\IObit\Start Menu 8\StartMenu_Hook.exe
это старт меню, замена пуску
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
С интерфейсом я могу работать без проблем, он совсем немного притормаживает. Дамп сжал, чтоб влез сюда.
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
Ну кто-нибудь что-нибудь ответит?
Dr.Web Security Space 10.0
Windows 8.1 x64 + автообновления
Ну кто-нибудь что-нибудь ответит?
Ну, кто нибудь из разработчиков появится, глянет.
Все таки с таким лучше было в ТП.
Ну кто-нибудь что-нибудь ответит?
Ну, кто нибудь из разработчиков появится, глянет.
Повисший сервис после запуска станции
Перезапустил машину, обнаружил уведомление от центра безопасности, что антивирус не запущен. Навожу мышкой на значек антивируса, на нем «Dr.Web is starting. «. Изредка похожее поведение вижу на других машинах, тут поймал на своей. Что-то я могу сделать для помощи в отлове такого злодейства, чтобы оно больше не повторялось? Дамп с процесса снять не выходит, т.к. не выходит отключить самозащиту. Антивирус при этом действительно не работает совсем, лог спайдергейта с момента выключения не обновлялся, как и лог гейта. Лог запуска dwservice с момента перезагрузки и до текущего момента:
Отчет с машины приложил, могу попробовать ещё снять полный дамп памяти вашей утилитой, т.к. на ручной дамп машина не настроена. Что-то я ещё могу сделать?
Прикрепленные файлы:
После перезагрузки работает штатно
в дампе сервис ждет старта SE. SE стартанул, и через 12 сек. свернул ласты с «Unable to create RPC server (Недостаточно памяти для завершения операции.)» пока не осознал что это значит. если ребутнуться ситуация повторится, если да, то можно новый отчет?
Из моего опыта в таких ситуациях перезагружаться не надо, достаточно службу DrWebEngine запустить.
Похоже, проблема другая. На другой машине обнаружил симптоматически в том-же самом состоянии антивирус. На сей раз зашел в службы, вручную запустил DrWebEngine и вроде антивирус завелся. Отчет снят до ручного запуска.
Если нужен, есть отчет снятый после запуска и дамп снятый в «сломанном» состоянии.
Прикрепленные файлы:
Извиняюсь, был ен внимателен. Это сообщение можно удалить.
Хотелось бы помнять, какая информация от меня может пригодиться? Аналогично не запущен скан энджайн, помогает его запуск. Может ему авторекавери добавить или поднимать его из сервиса повторно? Машины в этот момент без защиты работают.
